Un client est inscrit pour une carte de crédit d’un détaillant sans son consentement
Résumé de conclusions d’enquête en vertu de la LPRPDE no #2016-012
Le 31 mars 2016
Leçons retenues
- Les organisations doivent consigner le consentement (écrit, verbal, etc.) obtenu d’un individu pour recueillir, utiliser ou communiquer ses renseignements personnels.
- Les renseignements personnels sensibles ne peuvent être recueillis, utilisés ni communiqués sans le consentement exprès de l’intéressé.
- Les organisations doivent reconnaître que leurs employés ne suivent pas toujours les procédures. C’est pourquoi il est important de mettre en place des mécanismes de contrôle supplémentaires. Notre Trousse d’outils de la LPRPDE pour les entreprisesindique explicitement aux organisations de « conserver une preuve du consentement reçu ».
- Les organisations qui souhaitent en savoir plus sur le consentement peuvent consulter le bulletin d’interprétation de la Loi sur la protection des renseignements personnels et les documents électroniques, intitulé Forme de consentement, publié par le Commissariat à la protection de la vie privée du Canada.
Plainte
Dans un magasin de détail, un vendeur a abordé un client qui faisait ses achats en lui demandant de s’inscrire à un programme de fidélisation. Le client a accepté l’offre et a présenté son permis de conduire au vendeur pour s’inscrire.
Quelques semaines plus tard, le client a été étonné de recevoir une carte de crédit de la banque avec laquelle faisait affaire le détaillant. Il a affirmé n’avoir jamais été informé qu’il demandait une carte de crédit. Le client a même soutenu qu’il avait demandé expressément au vendeur si la demande avait quoi que ce soit à voir avec une carte de crédit et que celui-ci lui avait répondu par la négative.
L’homme a aussi appris que la banque avait peu de temps auparavant demandé à consulter son dossier de crédit en vue de lui accorder un nouveau crédit et que cette interrogation était inscrite à son dossier auprès d’une importante agence d’évaluation du crédit (interrogation inscrite à la suite d’une demande de crédit). Le client a déclaré n’avoir pas consenti à ce que le détaillant ou la banque recueille ses renseignements personnels pour ce type de demande.
Le client a alors demandé à consulter ses renseignements personnels détenus par la banque. Il a reçu une copie du formulaire rempli en magasin, qui était en fait une demande de crédit. Selon lui, la plupart des renseignements figurant sur la demande – notamment son numéro de téléphone, son occupation, son revenu annuel et son loyer mensuel – étaient inexacts. Les seuls renseignements exacts étaient ceux que le vendeur avait obtenus au moyen de son permis de conduire. Le plaignant a affirmé n’avoir jamais fourni au vendeur les renseignements inexacts figurant sur la demande.
Selon le représentant de la banque avec qui le Commissariat a communiqué, l’individu avait fourni ses renseignements personnels en toute connaissance de cause dans le but d’obtenir une carte de crédit. À ses dires, ces renseignements avaient été saisis sur une tablette électronique dans le cadre d’un projet pilote. Pour sa part, le plaignant a déclaré que le vendeur avait consigné les renseignements par écrit sur papier. Enfin, la banque estimait que le plaignant avait consenti expressément à une vérification de solvabilité en cochant une case sur la tablette électronique utilisée par le vendeur.
Résultat
L’enquête du Commissariat n’a pas permis d’établir que le plaignant :
- avait vu l’écran de la tablette électronique;
- avait fourni tous les renseignements figurant dans la demande;
- avait compris que ces renseignements seraient utilisés pour vérifier sa solvabilité;
- (et non le vendeur) avait lui-même coché la case de consentement en question.
À notre avis, la banque :
i) n’a pas fait la preuve qu’elle avait obtenu le consentement du plaignant;
ii) ne s’est pas assurée que les renseignements recueillis étaient exacts.
À l’issue de notre enquête, nous avons conclu que la banque avait contrevenu à plusieurs principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), notamment en ce qui concerne le consentement (principe 4.3) et l’exactitude (principe 4.6). Elle a aussi contrevenu au principe 4.1.4 en omettant de mettre en œuvre des procédures adéquates destinées à donner suite aux principes.
La banque a présenté ses excuses au plaignant, a annulé la carte de crédit et a demandé à l’agence d’évaluation du crédit de retirer le compte et l’interrogation du dossier du plaignant.
Mesures correctives prises par la banque
La banque a mis fin à son projet pilote portant sur l’utilisation d’une tablette électronique en magasin pour la présentation des demandes de crédit. En réponse aux recommandations formulées par le Commissariat, elle s’est aussi engagée, dans l’éventualité du rétablissement d’un projet similaire, à mettre en place des mesures pour s’assurer de pouvoir faire la preuve :
i) que le client a la possibilité de prendre connaissance du formulaire de demande en ligne et des communications connexes sur la protection des renseignements personnels;
ii) que le client a lui-même fourni les renseignements personnels figurant sur la demande présentée et qu’il a consenti par la suite à leur utilisation ou à leur communication.
En conséquence, nous avons conclu que la plainte était fondée et résolue.
- Date de modification :